7月23日近日，由百度安全實(shí)驗(yàn)室發(fā)布的《2014年第二季度移動(dòng)安全報(bào)告》顯示，中國(guó)手機(jī)用戶正面臨嚴(yán)重的手機(jī)安全威脅，其中惡意軟件高速增長(zhǎng)，尤其是竊取隱私類惡意軟件呈現(xiàn)爆發(fā)增長(zhǎng)之勢(shì)，另外，手機(jī)網(wǎng)銀、安卓系統(tǒng)等存在安全漏洞，給了不法分子可乘之機(jī)。手機(jī)支付安全已成為當(dāng)下用戶面臨的最為緊迫的手機(jī)安全難題。
支付類隱私信息成惡意軟件最大目標(biāo)
隨著手機(jī)上的金融，購(gòu)物，社交等功能逐漸成為人們生活中不可缺少的部分，人們的手機(jī)上也承載了越來(lái)越多的隱私信息。其中很多隱私信息與金錢(qián)利益直接或間接相關(guān)，因而很自然地成為了惡意軟件開(kāi)發(fā)者的目標(biāo)。
據(jù)百度《2014年第二季度移動(dòng)安全報(bào)告》顯示，和上一季度相比，隱私竊取類惡意軟件的比例上漲達(dá)到了17.9%，上漲幅度達(dá)到了57%。惡意軟件的種類較多，例如針對(duì)一種手機(jī)銀行惡意軟件就多達(dá)幾十款；而且大部分惡意軟件是對(duì)用戶一種或幾種隱私信息進(jìn)行針對(duì)性地竊取，隱蔽性更強(qiáng)，更難以被輕易檢測(cè)到。
據(jù)安全專家分析，隱私竊取類惡意軟件主要有三大特征。其一，冒充網(wǎng)銀、支付、購(gòu)物、社交等應(yīng)用。數(shù)據(jù)顯示，今年第二季度光是各種網(wǎng)銀應(yīng)用的山寨版本就超過(guò)了500款，由于這類山寨應(yīng)用的開(kāi)發(fā)門(mén)檻極低，且欺騙性很強(qiáng)，已成為對(duì)用戶隱私的最大威脅之一。此前百度安全實(shí)驗(yàn)室截獲的“微信支付大盜”就是一個(gè)典型案例，山寨微信“以假亂真”，試圖獲取用戶輸入的手機(jī)號(hào)、身份證號(hào)、銀行賬號(hào)等信息。
其二，惡意軟件開(kāi)發(fā)者的技術(shù)能力增長(zhǎng)，開(kāi)始采用進(jìn)程注入的方式來(lái)竊取用戶敏感信息。這類技術(shù)同樣可以使用在網(wǎng)銀、支付等應(yīng)用中，root后的手機(jī)極易中招?！傲奶熵飧`手”病毒便是百度目前發(fā)現(xiàn)的首款通過(guò)ptrace進(jìn)程注入方式進(jìn)行惡意竊取私密資料的病毒，它能夠?qū)崟r(shí)監(jiān)控手機(jī)QQ、微信的聊天內(nèi)容及聯(lián)系人信息，帶來(lái)嚴(yán)重的安全威脅。
其三，電信詐騙和支付類病毒應(yīng)用等多種詐騙手段的結(jié)合。為了突破銀行、運(yùn)營(yíng)商、支付機(jī)構(gòu)使用的“手機(jī)驗(yàn)證碼+密碼”的雙重認(rèn)證機(jī)制，一些惡意軟件中集成了網(wǎng)頁(yè)釣魚(yú)及監(jiān)聽(tīng)手機(jī)短信等技術(shù)，一方面通過(guò)釣魚(yú)網(wǎng)站或者頁(yè)面竊取用戶的密碼信息，一方面通過(guò)監(jiān)聽(tīng)用戶短信來(lái)竊取手機(jī)驗(yàn)證碼信息。日前，被百度安全實(shí)驗(yàn)室攔截的病毒中“偽中國(guó)移動(dòng)客戶端”就是采用“偽基站”詐騙短信發(fā)送技術(shù)，發(fā)送虛假10086的短信，誘導(dǎo)用戶點(diǎn)擊釣魚(yú)網(wǎng)站鏈接；并在釣魚(yú)頁(yè)面誘導(dǎo)用戶輸入網(wǎng)銀賬號(hào)、網(wǎng)銀密碼、下載安裝“偽中國(guó)移動(dòng)客戶端”病毒，攔截銀行驗(yàn)證短信，進(jìn)而竊取用戶銀行賬戶資金。
網(wǎng)銀漏洞和安卓系統(tǒng)漏洞威脅支付安全
除了惡意病毒軟件以外，銀行APP本身的漏洞也成為支付安全一大威脅。百度安全實(shí)驗(yàn)室近期發(fā)現(xiàn)，包括郵儲(chǔ)銀行，興業(yè)銀行，交通銀行，廣發(fā)銀行，華夏銀行，光大銀行等在內(nèi)的近20家手機(jī)銀行軟件都使用了或者曾經(jīng)使用過(guò)同一款數(shù)字證書(shū)簽名。
據(jù)了解，Android系統(tǒng)中證書(shū)是用來(lái)建立應(yīng)用程序與其所有者之間的信任關(guān)系，是Android安全機(jī)制中的重要組成部分。銀行作為獨(dú)立的公司實(shí)體，且與用戶財(cái)產(chǎn)密切相關(guān)，理應(yīng)使用獨(dú)有的簽名證書(shū)來(lái)標(biāo)識(shí)其客戶端的唯一性，并且嚴(yán)格管理此證書(shū)確保不會(huì)外泄。即使程序是由其他公司負(fù)責(zé)開(kāi)發(fā)，證書(shū)也應(yīng)該由銀行自身來(lái)進(jìn)行獨(dú)立管理。否則基于Android系統(tǒng)中使用相同證書(shū)的應(yīng)用可以利用的一些規(guī)則和權(quán)限，一旦證書(shū)被不法分子來(lái)制造惡意程序，就會(huì)給網(wǎng)銀用戶帶來(lái)安全威脅。
除此之外，近日Curesec團(tuán)隊(duì)公開(kāi)了其之前發(fā)現(xiàn)的Android系統(tǒng)漏洞CVE-2013-6272的技術(shù)細(xì)節(jié)。該漏洞存在于Android系統(tǒng)的電話模塊中，惡意程序可以利用該漏洞，在無(wú)需申請(qǐng)撥打電話權(quán)限的情況下，在后臺(tái)撥打任意電話(包括付費(fèi)電話)，給用戶造成資費(fèi)消耗；也可以掛斷當(dāng)前正在進(jìn)行的通話，對(duì)用戶造成嚴(yán)重的干擾。百度手機(jī)衛(wèi)士安全專家提醒廣大用戶，該漏洞的影響面很廣，從Android 4.1.1版本開(kāi)始就已經(jīng)存在，建議用戶升級(jí)到4.4.3版本進(jìn)行修復(fù)。
佰佰安全網(wǎng)在此提醒大家，針對(duì)日益復(fù)雜的支付環(huán)境，手機(jī)移動(dòng)支付作為新興領(lǐng)域，所出現(xiàn)的安全問(wèn)題對(duì)于移動(dòng)安全廠商來(lái)說(shuō)是全新的挑戰(zhàn)。保障移動(dòng)金融安全，應(yīng)從技術(shù)攻關(guān)、用戶體驗(yàn)、行業(yè)合作這三方面共同努力，以此來(lái)構(gòu)建移動(dòng)安全體系。